セキュリティをどう考えるか
(1)製造セキュリティ
IoTのセキュリティ確保は、製造インフラのセキュリティを確保するところから始まる。新しいテクノロジやデバイス、自動車を短期間で市場へ投入するため、また各種法規へのコンプライアンスや利益を上げるためなどの理由から、メーカーの製造現場でセキュリティが軽視されることも珍しくない。
例えば、独フォルクスワーゲンの排出ガス規制に関する不正スキャンダルは記憶に新しいところだ。2015年秋、同社は米国の自動車排出ガス規制をクリアするために、同社が製造した自動車1100万台に不正なソフトウェアを搭載していたことを認めた。これは厳密にはIoTの問題ではないが、個人や環境などに被害を及ぼす恐れのある不正ソフトウェアを物理的なスマートデバイスに搭載し、消費者と規制当局を欺くことが可能であるという脆弱性が浮き彫りになった。
同社は当該自動車向けに修正ソフトウェアを提供するとしているが、ソフトウェア更新のためには車をディーラーに持ち込まなければならず、莫大な費用が発生することになる。もし、セキュリティを確保したアーキテクチャを基盤にして、OTA(Over-the-Air)でソフトウェアを更新できたとしたら、どうだろうか。離れた場所からわずかな時間と費用で安全に、膨大な数の対象車のソフトウェアを一括でアップグレードして修正することが可能になる。
この数年間でも、JR北海道の保線管理室によるレール検査数値の捏造や、旭化成の杭打ちデータ改ざんによる横浜の傾斜マンション問題など 、業界におけるこのような不正は頻発している。一元化されている環境から多くのデバイスが分散している複雑なネットワーク環境へとIoTが広がり、膨大な量の機密データがやり取りされるようになることで、個人情報の漏えいやデータ改ざん、デバイスの遠隔操作といったリスクも高まる。
安全なIoTデバイスやサービスの開発/維持には、まず、企業内および取引先で不正が行えない体制作りが不可欠であり、そのようなコンプライアンス&セキュリティ体制が無い限り、安全なIoTデバイスの開発と運営は企業として態勢が整っていないと考えるべきである。
